Botnet AndroxGh0st

CISA i FBI wspólnie wydały ostrzeżenie dotyczące działań ugrupowań zagrażających wykorzystujących złośliwe oprogramowanie Androxgh0st, które aktywnie tworzą botnet ze szczególnym naciskiem na kradzież danych uwierzytelniających w chmurze. Ci wrogie podmioty wykorzystują zebrane informacje do rozmieszczania dodatkowych szkodliwych ładunków. Botnet ten, wykryty po raz pierwszy przez badaczy cyberbezpieczeństwa w 2022 r., przejął już wówczas kontrolę nad ponad 40 000 urządzeń.

Sposób działania tego botnetu polega na skanowaniu pod kątem luk w zabezpieczeniach witryn internetowych i serwerów podatnych na zdalne wykonanie kodu (RCE). W szczególności cyberprzestępcy wykorzystują określone luki w zabezpieczeniach, a mianowicie CVE-2017-9841 (powiązane ze strukturą testów jednostkowych PHPUnit), CVE-2021-41773 (powiązane z serwerem Apache HTTP) i CVE-2018-15133 (powiązane z platformą Laravel framework WWW PHP). Wykorzystując te luki, złośliwe oprogramowanie Androxgh0st ułatwia nieautoryzowany dostęp i umożliwia kradzież danych uwierzytelniających w chmurze, stwarzając znaczne ryzyko cyberbezpieczeństwa.

Złośliwe oprogramowanie AndroxGh0st atakuje wrażliwe dane na zaatakowanych urządzeniach

Androxgh0st, złośliwe oprogramowanie napisane w języku Python, jest zaprojektowane głównie do atakowania plików .env przechowujących poufne informacje, w tym dane uwierzytelniające dla prestiżowych aplikacji, takich jak Amazon Web Services (AWS), Microsoft Office 365, SendGrid i Twilio w ramach aplikacji internetowych Laravel .

Szkodnik ten oferuje różne funkcjonalności, umożliwiające nadużycia protokołu SMTP (Simple Mail Transfer Protocol). Może skanować i wykorzystywać ujawnione dane uwierzytelniające oraz interfejsy programowania aplikacji (API), a także wdrażać powłoki internetowe. Kompromis poświadczeń Twilio i SendGrid umożliwia podmiotom zagrażającym organizowanie kampanii spamowych, podszywając się pod firmy, które naruszyły bezpieczeństwo.

W zależności od zastosowania AndroxGh0st spełnia dwie podstawowe funkcje w odniesieniu do uzyskanych poświadczeń. Częściej obserwowany polega na sprawdzeniu limitu wysyłania wiadomości e-mail z zaatakowanego konta w celu określenia jego przydatności do celów spamowania.

Napastnicy zademonstrowali także tworzenie fałszywych stron w zaatakowanych witrynach internetowych, tworząc backdoory umożliwiające dostęp do baz danych zawierających poufne informacje. Dostęp ten jest wykorzystywany do wdrażania dodatkowych, groźnych narzędzi kluczowych dla ich operacji. W przypadku pomyślnej identyfikacji i naruszenia bezpieczeństwa danych uwierzytelniających AWS na podatnych witrynach internetowych osoby atakujące próbowały utworzyć nowych użytkowników i zasady dotyczące użytkowników.

Co więcej, operatorzy Andoxgh0st wykorzystują skradzione dane uwierzytelniające do inicjowania nowych instancji AWS, umożliwiając im skanowanie w poszukiwaniu dodatkowych wrażliwych celów w Internecie w ramach bieżących operacji.

Jak zapobiec potencjalnym atakom złośliwego oprogramowania Andoxgh0st?

Aby złagodzić skutki ataków złośliwego oprogramowania Androxgh0st i zminimalizować ryzyko naruszenia bezpieczeństwa, obrońcom sieci zaleca się wdrożenie następujących środków:

• Aktualizuj systemy : upewnij się, że wszystkie systemy operacyjne, oprogramowanie i oprogramowanie sprzętowe są regularnie aktualizowane. W szczególności sprawdź, czy na serwerach Apache nie działają wersje 2.4.49 lub 2.4.50.
• Konfiguracja URI : potwierdź, że domyślna konfiguracja wszystkich jednolitych identyfikatorów zasobów (URI) jest ustawiona tak, aby odrzucać wszystkie żądania, chyba że istnieje konkretna i uzasadniona potrzeba zapewnienia dostępności.
• Ustawienia aplikacji Laravel : Upewnij się, że żadne działające aplikacje Laravel nie są w trybie „debugowania” lub testowania. Usuń poświadczenia chmury z plików .env i unieważnij je. Przeprowadź jednorazowy przegląd wcześniej zapisanych danych uwierzytelniających w chmurze i przeprowadzaj ciągłe przeglądy innych typów danych uwierzytelniających, których nie można usunąć.
• Skanowanie systemu plików : Skanuje system plików serwera w poszukiwaniu nierozpoznanych plików PHP, ze szczególnym uwzględnieniem katalogu głównego i folderu /vendor/phpunit/phpunit/src/Util/PHP.
• Wychodzące żądania GET : przeglądaj wychodzące żądania GET, szczególnie te korzystające z poleceń cURL, do witryn hostujących pliki, takich jak GitHub lub Pastebin. Zwróć szczególną uwagę, gdy żądanie uzyskuje dostęp do pliku .php.

CISA zaktualizowała swój katalog znanych luk w zabezpieczeniach w oparciu o dowody aktywnego wykorzystania luk. Dodano lukę w zabezpieczeniach CVE-2018-15133 Laravel dotyczącą deserializacji niezaufanych danych, natomiast luki w zabezpieczeniach CVE-2021-41773 Apache HTTP Server związane z przechodzeniem ścieżki i CVE-2017-9841 PHPUnit polegające na wstrzykiwaniu poleceń zostały uwzględnione odpowiednio w listopadzie 2021 r. i lutym 2022 r. Dodatki te mają na celu zwiększenie świadomości i szybkie podjęcie proaktywnych działań przeciwko znanym lukom związanym z Androxgh0st.